公开(公告)号：CN115811421A

公开(公告)日：2023-03-17

申请号：CN202211441628.6

申请日：2022-11-17

Applicant: 国家计算机网络与信息安全管理中心 ,  恒安嘉新(北京)科技股份公司 ,  国家计算机网络与信息安全管理中心浙江分中心

Inventor： 雷君 ,  何能强 ,  仇晨悦 ,  张宇鹏 ,  朱文扬 ,  周彧 ,  季莹莹 ,  严定宇 ,  郑勤健 ,  周昊 ,  尤杰 ,  张录录 ,  李雪峰 ,  尚程 ,  杨满智 ,  梁彧 ,  傅强 ,  王杰 ,  金红 ,  高川 ,  贾世琳 ,  吕卓航 ,  楼书逸 ,  文静 ,  贺铮 ,  王宏宇 ,  刘玲 ,  张榜 ,  秦佳伟 ,  石桂欣

IPC: H04L9/40

Abstract: 本申请实施例公开了一种网络安全事件的监测方法、装置、电子设备以及存储介质。其中，该方法包括：当接收到安全监测系统发送的网络安全事件上报信息时，获取网络安全事件的日志信息；根据网络安全事件的日志信息，在备份信息数据库中确定与所述网络安全事件匹配的监管主体；生成与所述网络安全事件匹配的处理工单，并将所述处理工单发送至所述监管主体。本技术方案根据网络安全事件的日志信息，在备份信息数据库中确定出相匹配的监管主体，并对监管主体发送处理工单，实现了对网络安全事件的快速响应处置，缩短了网络安全事件响应处置时间。

公开(公告)号：CN118316730A

公开(公告)日：2024-07-09

申请号：CN202410711421.9

申请日：2024-06-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 秦佳伟 ,  严定宇 ,  吕利峰 ,  贺铮 ,  周昊 ,  周彧 ,  金忠峰 ,  刘玲 ,  肖崇蕙

IPC: H04L9/40 ,  H04L51/42

Abstract: 本发明属于网络攻击检测领域，具体公开了一种针对邮箱的网络攻击异常行为检测方法，具体包括：S1：捕获网络流量PCAP数据包；S2：解析捕获的网络流量PCAP数据包，过滤邮件收件协议的加密流量；S3：对所述邮件收件协议的加密流量进行深度检测，提取非加密元数据以及会话的时间；S4：根据提取的非加密元数据以及会话的时间筛选有效交互会话，并补充源IP和目的IP的单位信息；S5：基于源IP在特定时间访问多个不同目的IP的模式，自动产生告警。本发明从攻击者的角度出发，通过对加密邮件流量的统计分析，建立收信异常行为模型，以有效发现潜伏于邮件加密传输流量之下的APT攻击事件。

公开(公告)号：CN109960729B

公开(公告)日：2022-01-18

申请号：CN201910241639.1

申请日：2019-03-28

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 周昊 ,  张帅 ,  吕志泉 ,  董云飞 ,  朱天 ,  陈阳 ,  饶毓 ,  徐娜 ,  严寒冰 ,  丁丽 ,  张华 ,  常霞 ,  狄少嘉 ,  徐原 ,  温森浩 ,  王庆 ,  李世淙 ,  徐剑 ,  李志辉 ,  姚力 ,  朱芸茜 ,  郭晶 ,  胡俊 ,  王小群 ,  何能强 ,  李挺 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  韩志辉 ,  马莉雅 ,  张宇鹏 ,  雷君 ,  高川 ,  周彧 ,  吕卓航 ,  楼书逸 ,  文静 ,  贾世琳

IPC: G06F16/35 ,  G06F40/216 ,  G06F40/284

Abstract: 本发明公开了一种HTTP恶意流量的检测方法及系统，该方法包括：抓取网络流量数据，并对网络流量数据进行预处理，得到对应每条HTTP请求的格式化数据；对格式化数据进行特征提取，得到每条格式化数据的文本向量特征；基于预先训练的恶意流量检测模型对文本向量特征进行分类检测，检测出HTTP恶意请求；基于相似攻击聚类算法对HTTP恶意请求进行相似攻击聚类，得到聚类簇；基于聚类簇进行分析，得到HTTP恶意请求的恶意攻击信息。本发明利用Spark大数据分析引擎对流量数据进行特征提取和转化，并利用机器学习和聚类算法对恶意流量进行挖掘，提高了网络恶意流量的检测精确度，减少了安全分析人员的流量分析时间成本。

公开(公告)号：CN110135157B

公开(公告)日：2021-04-09

申请号：CN201910272315.4

申请日：2019-04-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  刘洁然 ,  沈元 ,  周彧 ,  徐剑 ,  周昊 ,  高川

IPC: G06F21/56 ,  G06F8/53

Abstract: 本公开实施例提供了一种恶意软件同源性分析方法、系统、电子设备及存储介质。其中，该方法包括：获取恶意软件的样本的数据集；从样本的数据集中提取反汇编代码文本以及带属性的控制流程图；基于反汇编代码文本以及带属性的控制流程图，构建深度神经网络模型；通过深度神经网络模型，识别恶意软件的同源性。通过该技术方案，解决了如何提高恶意软件相似性分析的准确性的技术问题，可以识别新的、未知的恶意软件的同源性，挖掘其背后的组织信息，从而可以快速地定位攻击来源或攻击者，以便于可采取更快速、更准确的防治方法，进而可以帮助安全专家构建完整的攻击场景，而且可以跟踪攻击者。

公开(公告)号：CN108173884A

公开(公告)日：2018-06-15

申请号：CN201810231224.1

申请日：2018-03-20

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 朱天 ,  严寒冰 ,  丁丽 ,  李佳 ,  饶毓 ,  温森浩 ,  李志辉 ,  姚力 ,  朱芸茜 ,  王小群 ,  张腾 ,  吕利锋 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸

IPC: H04L29/06

Abstract: 本发明涉及一种基于网络攻击伴随行为的DDoS攻击群体分析方法，包括：获取预设时间内的DDoS攻击行为的所有控制端IP，以及每个控制端IP所对应的攻击目标轨迹和利用肉鸡轨迹；计算每个控制端IP与除该控制端IP外的其他每个控制端IP的攻击目标轨迹相似度，以及利用肉鸡轨迹相似度；根据所计算的所有的任意两个控制端IP，以及对应的攻击目标轨迹相似度和利用肉鸡轨迹相似度构建关系图；根据所构建的关系图划分DDoS攻击群体。本发明通过汇总分析大量的DDoS攻击事件中涉及的互联网攻击资源，建立对零散的DDoS攻击事件的基于时空多维关系的攻击序列，找到DDoS攻击事件发生期间这些攻击资源的关联和归属，从而支持对重要、组织性的DDoS攻击群体的发现。

公开(公告)号：CN117640158A

公开(公告)日：2024-03-01

申请号：CN202311478796.7

申请日：2023-11-08

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  李向宇 ,  周彧 ,  张焱喆 ,  郎波 ,  臧天宁

IPC: H04L9/40

Abstract: 本发明是有关于一种基于序列比对的木马通信特征自动提取方法，该方法借鉴生物信息学序列比对算法，以可接受的时间复杂度对恶意流量中隐含的特征进行提取，并使用控制变量分析法判断流量中的特征序列与木马某因素间的关联关系。在序列比对阶段，本发明针对不同场景下，提出了基于随机化的多子串提取及基于滑动窗口子串提取的两种方法。将提取出的子串清洗后转换为当前IDS工具可直接使用的Snort规则，对真实流量做检测。本发明无需花费人工成本，极大的提高了远控木马检测效率，对于现有的远控木马具有普遍的可检测性，检测精度高，检测算法的可扩展性好，可以应用于大规模木马数据检测。

公开(公告)号：CN116743437A

公开(公告)日：2023-09-12

申请号：CN202310590449.7

申请日：2023-05-24

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 严寒冰 ,  付博扬 ,  周彧 ,  郎波 ,  陶慧波

IPC: H04L9/40 ,  H04L43/045

Abstract: 本发明是有关于一种对跳板节点的关联分析发现方法，通过分析僵尸网络中跳板节点流数据，发现与跳板节点连接的节点中行为高度相似的节点，从而发现属于同一僵尸网络中的多个关联节点，定位可能处于上级的C&C服务器节点，为后续溯源分析，发现和预防僵尸网络威胁提供帮助。本发明能够通过对网络流数据的分析，提取出代表网络节点行为的重要特征，对特征进行预处理后输入到构建好的程序进行分析，完成对行为相似节点的发现并输出结果。通过将高度可疑节点与跳板节点通信情况绘制流量曲线并可视化展示，进一步验证可疑IP对的上下级控制关系，实现对同一僵尸网络关联节点的发现和攻击预防。

公开(公告)号：CN110875917B

公开(公告)日：2022-02-25

申请号：CN201811030020.8

申请日：2018-09-04

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 韩志辉 ,  吕志泉 ,  梅瑞 ,  严寒冰 ,  丁丽 ,  李佳 ,  沈元 ,  张帅 ,  李志辉 ,  张腾 ,  陈阳 ,  王适文 ,  马莉雅 ,  高川 ,  周昊 ,  周彧

IPC: H04L9/40 ,  G06F21/56

公开(公告)号：CN110149343B

公开(公告)日：2021-07-16

申请号：CN201910469616.6

申请日：2019-05-31

Applicant: 国家计算机网络与信息安全管理中心 ,  北京锐驰信安技术有限公司

Inventor： 李志辉 ,  严寒冰 ,  丁丽 ,  温森浩 ,  姚力 ,  朱芸茜 ,  王小群 ,  陈阳 ,  李世淙 ,  徐剑 ,  王适文 ,  肖崇蕙 ,  贾子骁 ,  张帅 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  周昊 ,  高川 ,  楼书逸 ,  文静 ,  吕卓航 ,  杜飞

IPC: H04L29/06

Abstract: 本发明提供了一种基于流的异常通联行为检测方法和系统，属于网络安全异常事件被动发现领域。本发明的检测系统包括：配置白名单IP、重点目标IP和一般目标IP的配置管理模块，获取和存储网络流数据信息的数据采集模块和存储模块，分别对重点目标和一般目标进行检测的重点目标异常检测模块和一般目标异常检测模块以及异常评估模块。本发明检测方法对重要网络节点和普通网络节点采用不同的方法进行流量模型构建，分别进行网络异常检测，再关联重要目标和普通目标的网络事件，挖掘出具备一定危害的网络入侵行为和异常通联行为。本发明对各种类型的流量异常行为具备良好的发现能力，对流量数据的计算复杂度小，并且异常发现实时性强。

公开(公告)号：CN107580022B

公开(公告)日：2020-11-06

申请号：CN201710651994.7

申请日：2017-08-02

Applicant: 国家计算机网络与信息安全管理中心

Inventor： 何能强 ,  严寒冰 ,  舒敏 ,  丁丽 ,  李佳 ,  郭伟 ,  林浩 ,  张华 ,  姜春晓 ,  徐蕾 ,  胡兵 ,  刘杨 ,  阚志刚 ,  狄少嘉 ,  徐原 ,  何世平 ,  温森浩 ,  李志辉 ,  姚力 ,  张洪 ,  朱芸茜 ,  郭晶 ,  朱天 ,  高胜 ,  胡俊 ,  王小群 ,  张腾 ,  李挺 ,  陈阳 ,  李世淙 ,  徐剑 ,  吕利锋 ,  党向磊 ,  王适文 ,  刘婧 ,  饶毓 ,  张帅 ,  贾子骁 ,  肖崇蕙 ,  吕志泉 ,  韩志辉 ,  马莉雅 ,  雷君 ,  周彧 ,  高川 ,  周昊

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明涉及一种数据共享系统和方法，所述系统包括：一个或多个数据中心服务器、一个或多个数据管理服务器和数据库，其中，所述数据中心服务器用于接收客户端提交的数据信息，进行数据交换以及发送客户端所需获取数据信息，并对客户端提交的数据信息，交换的数据信息以及发送客户端所需获取数据信息进行检验和评估，将客户端提交的数据信息和客户端所需获取数据信息以及对应的检验和评估结果存储在数据库中；所述数据管理服务器用于管理对应的一个或多个个数据中心服务器，并将客户端提交数据和客户端获取数据的过程信息存储到数据库中。本发明能对数据发现、共享公开审计，且还能提供可信的数据评估过程，提高了数据共享的可靠性。